الوحدة 7
كشف البرمجيات الضارة من خلال الحصول على الصور (آي أو إس وأندرويد)
آخر تحديث في: 5 ديسمبر 2024
GitHub تعديل هذه الصفحة علىحالة استخدام
تتمثل الخطوة الأولى في كشف البرمجيات الضارة على الجهاز في جمع البيانات من الجهاز نفسه لتحليلها ومن الناحية المثالية يمكن نقل البيانات من الجهاز إلى مساحة آمنة مع أدنى حد من التعطيل للجهاز نفسه. قد تحاول البرمجيات الضارة الأكثر تقدمًا اكتشاف نشاط التحليل الجنائي وحذف نفسها لعرقلة الكشف والتحليل.
الأهداف
بعد استكمال هذا الموضوع الفرعي، يجب أن يكون الممارسون قادرين على القيام بما يلي:
- أجر نسخة احتياطية لجهاز آي أو إس أو أندرويد للتحقق من البرمجيات الضارة المحتملة
- تحقق من البيانات التي تم جمعها في تلك النسخة الاحتياطية، على سبيل المثال من خلال البحث عن الطوابع الزمنية والبيانات الوصفية أو الآثار
- تحليل النسخ الاحتياطية لنظامي آي أو إس وأندرويد باستخدام موبايل فيريفيكيشن تولكيت (MVT)
العرض
للحصول على رؤية أوسع لطرق كشف البرمجيات الضارة والتحديات المحتملة، نوصي جميع المتعلمين بإلقاء نظرة على هذه المحادثة (أصلها باللغة الألمانية ولكنها مترجمة أيضًا إلى الفرنسية والإنجليزية) وهي مقدمة رائعة حول الموضوع وتستمر حوالي 50 دقيقة (بالإضافة إلى الأسئلة والأجوبة).
آي أو إس وأندرويد
عادةً ما تكون أنظمة تشغيل الأجهزة المحمولة أكثر محدودية/تأمينًا مقارنة بأنظمة سطح المكتب، لذا فإن إنشاء نسخة احتياطية كاملة والعمل عليها ليس بالأمر السهل وقد لا تتمكن من الحصول على جميع المعلومات بسهولة من الجهاز. إحدى الأدوات متعددة المنصات كاملة الميزات لاستخراج البيانات المتنقلة هي مجموعة أدوات موبايل فيريفيكيشن تولكيت Mobile Verification Toolkit](https://mvt.re) الخاصة بمختبر الأمن التابع لمنظمة العفو الدولية. تتوفر كامل الوثائق على موقعهم على شبكة الإنترنت ولكن هناك أيضًا أدلة توجيهية على سبيل المثال هذا (بالإنجليزية، فيديو طوله 6 دقائق). لاحظ أن هذه الجولة الأخيرة تتضمن أيضًا مواد سنغطيها في الموضوع الفرعي التالي وبدلًا من ذلك يمكنك أيضًا استخدام هذا الدليلالذي سيوضح كيفية إجراء النسخ الاحتياطي على كل من آي أو إس وأندرويد.
عندما يتعلق الأمر بنظام التشغيل يمكنك استخدام أداة تسمى ليبي موبايل ديفايس libimobiledevice أو آي تونز (iTunes) لإجراء نسخة احتياطية. يمكنك بعد ذلك تحليل هذه النسخة الاحتياطية باستخدام موبايل فيريفيكيشن تولكيت.
يُعدّ كشف البرمجيات الضارة على أندرويد أكثر تعقيدًا ولكن يمكنك استخدام أداة تسمى أندرويد كيو إف androidqf لتخزين السجلات. راجع هذه المقالة للحصول على مزيد من التفاصيل حول أندرويد كيو إف ولماذا يصعب إجراء نسخ احتياطي دون توصيل جهاز أندرويد أولًا بجهاز كمبيوتر آخر.
يمكنك تثبيت موبايل فيريفيكيشن تولكيت على لينوكس أو ماك أو إس. تحتوي معظم أنظمة لينوكس على pip3، وهي أداة تستخدم لتثبيت حزم بايثون (Python) مما يجعل تثبيت موبايل فيريفيكيشن تولكيت بسيطًا إلى حد ما، بينما ستحتاج على ماك أو إس عادةً إلى تثبيت أداتين هما إكس كود (XCode) وهومبرو (Homebrew) أولًا قبل التمكن من تثبيت موبايل فيريفيكيشن تولكيت ويمكنك اتباع التعليمات الواردة في هذا الدليل لتثبيتها.
آي أو إس وأندرويد
🧰 بالنسبة للأجهزة المحمولة، تجعل بنية النظام برامج مكافحة البرمجيات الضارة على الجهاز أقل فعالية ولكن ستقوم موبايل فيريفيكيشن تولكيتMobile Verification Toolkit بفحص البيانات المستخرجة من جهاز أندرويد أو آي أو إس بحثًا عن البرمجيات الضارة المختلفة.
في القسم السابق، راجعنا النسخ الاحتياطي لجهاز باستخدام موبايل فيريفيكيشن تولكيت وبمجرد الانتهاء من ذلك يمكنك فحص النسخة الاحتياطية باستخدام أداة سطر الأوامر.
لكن لاحظ أن موبايل فيريفيكيشن تولكيت تعاني من بعض القيود:
- تتحقق موبايل فيريفيكيشن تولكيت من النسخ الاحتياطي للجهاز مقابل مؤشرات الاختراق المعروفة. وهذا يعني أنه لا يمكنها التحقق إلا من البرمجيات الضارة التي تحتوي على مؤشرات الاختراق المحددة تلك. لا يبحث عن استدلالات أخرى (مثل نظام مُخترق الحماية أو الأتمتة أو البرمجيات النصية المشبوهة) التي قد تشير إلى وجود إصابة.
- بالنسبة لنظام التشغيل آي أو إسgain access to a device backup, and then extract the data from the backup، تُعدّ أفضل طريقة هي الوصول إلى نسخة احتياطية من الجهاز، ثم استخراج البيانات من النسخة الاحتياطية. يجب أن يوفر القيام بذلك معظم البيانات المتوفرة على الجهاز. (توجد المزيد من أعمال التحليل التي يمكن إجراؤها على جهاز آي أو إس مُخترق الحماية على الرغم من أن هذا يقع خارج نطاق مسار التعلّم هذا). تجدر الإشارة أيضًا إلى أن النسخة الاحتياطية المشفرة تحتوي على بيانات أكثر بكثير من البيانات غير المشفرة ونوصي دائمًا باستخدام الأولى إن أمكن. بالنسبة لنظام أندرويد ما لم يكن الجهاز متاحًا عليه الوصول إلى الجذر فلن تتمكن من استخراج كل شيء، ولكن يمكنك الحصول على الكثير من بيانات الجهاز دون الوصول إلى الجذر. لأجل مقالة سريعة حول مؤشرات الاختراق التي تتحقق منها موبايل فيريفيكيشن تولكيت، وكيفية تنزيل بيانات مؤشرات الاختراق الجديدة وتقديمها وقائمة بمؤشرات الاختراق المحتملة التي يمكنك استخدامها في جهود الكشف خاصتك، تحقق من هذه الصفحة الفرعية في وثائق موبايل فيريفيكيشن تولكيتthis sub-page in the MVT documentation..
الممارسة
بالنسبة لتمارين التدريب في هذا الموضوع الفرعي، قم أولًا بإجراء نسخة احتياطية من جهازك (التعليمات الخاصة بكل منصة موضّحة أدناه) ثم أجب عن الأسئلة تحت علامة “جميع الأنظمة”.
نظام آي أو إس
ثبّت موبايل فيريفيكيشن تولكيت على نظام تشغيل سطح المكتب. اتبع الإرشادات الموضّحة في هذا القسم لإجراء نسخة احتياطية، إما باستخدام آي تونز أو عن طريق تثبيت ليبي موبايل ديفايسأولًاlibimobiledevice..
نظام أندرويد
ثبّت موبايل فيريفيكيشن تولكيت على نظام تشغيل سطح المكتب. ثم ثبّت أندرويد كيوAndroidqf إف واستخدمه لإجراء نسخة احتياطية.
ويندوز وماك أو إس ولينوكس
أجر نسخة احتياطية من نظام تشغيل سطح المكتب الخاص بك باستخدام أداة من اختيارك ويمكنك استخدام إحدى الأدوات الموضحة في قسم مصادر التعلّم أعلاه.
جميع الأنظمة
تحقق مما يلي في نسختك الاحتياطية:
- ما هي البيانات التي حصلت عليها من الجهاز؟ ما هي البيانات التي لم تحصل عليها؟
- ما الذي تم تعديله مؤخرًا؟
- هل الطوابع الزمنية محفوظة في نسخة الاستحواذ على البيانات؟
اختبار مهارة
قبل القيام بقسم اختبار المهارة من التمرين، تأكد من أنك قمت أولًا بإجراء نسخة احتياطية من ملفاتك كما هو موضح في قسم الممارسة، وبمجرد الانتهاء من ذلك قم بما يلي:
ويندوز وماك أو إس ولينوكس
لقد أكملت النسخ الاحتياطي لنظام تشغيل سطح المكتب، قم بفتحها وستجد داخلها:
- مجلد التنزيلات
- ملفًا واحدًا قابل للتنفيذ على الأقل
- ملف إعدادات أو تكوين نظام واحد على الأقل
لا بأس تمامًا باستخدام محرك البحث المفضل لديك لمعرفة مكان وجود هذه الملفات والمجلدات على القرص ثم البحث عنها في نفس الموقع داخل نسختك الاحتياطية فقط.
نظام آي أو إس
إذا تم تشفير النسخة الاحتياطية لنظام آي أو إس، استخدم موبايل فيريفيكيشن تولكيت لفك تشفيرها باتباع هذه التعليماتthese instructions ثم اقرأ معطيات الأمر للتأكد من أن فك التشفير قد تم بنجاح.
بعد فك تشفير النسخة الاحتياطية، اطلب من موبايل فيريفيكيشن تولكيت تنزيل أحدث مؤشرات الاختراق ثم استخدم الأداة لفحص النسخة الاحتياطية بحثًا عن البرمجيات الضارة.
نظام أندرويد
طلب من موبايل فيريفيكيشن تولكيت تنزيل أحدث مؤشرات الاختراق ثم استخدامه لفحص النسخة الاحتياطية التي قمت بإنشائها باستخدام أندرويد كيو إف.
موارد التعلّم
الدليل الميداني للاستجابة للحوادث للمجتمع المدني ووسائل الإعلام
مجانيدليل حول كيفية تحليل المحتوى الذي يُحتمل أن يكون ضارًا وإعداد الأجهزة الظاهرية والمزيد
اللغات: اللغة الإنجليزية
زيارة الموقعالتحليل الجنائي للبرمجيات الضارة على الهواتف الذكية: مقدمة
مجانًاحديث بين اثنين من الباحثين في مجال البرمجيات الضارة المتنقلة الذين يعملون مع الصحفيين يحددون فيه أساسيات التحليل الجنائي للبرمجيات الضارة للهواتف الذكية، وكيف تختلف عن التحليل الجنائي لسطح المكتب والأدوات والأساليب الرائدة
اللغات: المحادثة الأصلية باللغة الألمانية ومترجمة إلى الفرنسية والإنجليزية. الشرائح باللغة الإنجليزية
زيارة الموقعالتحليل الجنائي للأجهزة المحمولة
مجانًاأنشأ هذا الدليل الشامل في البداية منظمة أمن بلا حدود (Security Without Borders) ويبحث في كيفية القيام بالأدلة الجنائية الأساسية وجمع البيانات على كل منصة رئيسية.
اللغات: اللغة الإنجليزية
زيارة الموقعكيفية إجراء صورة نسخة احتياطية لنظام ويندوز 10/11
مجانيمن أجل تحليل نظام بحثًا عن البرمجيات الضارة، نحتاج أولًا إلى إجراء نسخة من الملفات والمجلدات الموجودة على هذا النظام ويوضح لنا هذا الدليل حول كيفية تمكننا من القيام بذلك على ويندوز.
اللغات: اللغة الإنجليزية
زيارة الموقعكيفية إجراء نسخة احتياطية لجهاز ماك أو ماك بوك (Macbook)
مجانيتُركز هذه المقالة على صور نظام ماك أو إس.
اللغات: اللغة الإنجليزية
زيارة الموقعكيفية إجراء نسخة احتياطية لنظام لينوكس بأكمله باستخدام آر سينك(Rsync)
مجانيتستخدم هذه المقالة أداة آر سينك وهي أداة مساعدة قوية جدًا على سطر الأوامر يمكن استخدامها أيضًا لنسخ نظام لينوكس لأغراض تحليل صورة القرص اللاحقة.
اللغات: اللغة الإنجليزية
زيارة الموقعموبايل فيريفيكيشن تولكيت، مجموعة أدوات التحقق من الهاتف المحمول
مجانيأداة مجانية يمكنها تحليل النسخ الاحتياطية لأنظمة آي أو إس وأندرويد للبحث عن مؤشرات الاختراق المرتبطة بالبرمجيات الضارة أو إصابة برمجيات التجسس وتستخدم على نطاق واسع في التحليل الجنائي لأجهزة للمجتمع المدني
اللغات: اللغة الإنجليزية
زيارة الموقعالنسخ الاحتياطي باستخدام آي تونز
مجانيتوضح هذه المقالة في وثائق موبايل فيريفيكيشن تولكيت كيفية استخدام آي تونز لإنشاء نسخة احتياطية يمكن تحليلها لاحقًا باستخدام الأداة.
اللغات: اللغة الإنجليزية
زيارة الموقعلقد قمت بتحليل هاتفي بحثًا عن برمجية التجسس بيغاسوس
مجانيفيديو خطوة بخطوة يوضح كيف يمكنك استخدام موبايل فيريفيكيشن تولكيت من أجل العثور على مؤشرات الاختراق المرتبطة ببيغاسوس على آي أو إس
اللغات: اللغة الإنجليزية
زيارة الموقعدليل المبتدئين - كيفية إجراء نسخة احتياطية من الجهاز المحمول لغرض تحليل التحليل الجنائي
مجانيدليل تمهيدي حول كيفية استخدام الأدوات الشائعة لإجراء نسخة احتياطية من أجهزة آي أو إس وأندرويد من أجل فحصها بحثًا عن البرمجيات الضارة لاحقًا
اللغات: اللغة الإنجليزية
زيارة الموقعليبي موبايل ديفايس
مجانيالصفحة الرئيسية لمكتبة البرامج التي يمكن استخدامها للوصول إلى أجهزة آي أو إس ونسخها احتياطيًا من جهاز يعمل بنظام التشغيل Windows أو ماك أو إس أو Linux
اللغات: اللغة الإنجليزية
زيارة الموقعتبسيط التحليل الجنائي للأندرويد
مجانيمقال كتبه زميل فني في منظمة العفو الدولية حول الأدوات الحالية التي يمكن استخدامها للنسخ الاحتياطي لأجهزة أندرويد للتحليل الجنائي وبعض قيودها
اللغات: اللغة الإنجليزية
زيارة الموقعتثبيت ليبي موبايل ديفايس
مجانيدليل سريع حول كيفية تثبيت ليبي موبايل ديفايس لأغراض تحقيق التحليل الجنائي
اللغات: اللغة الإنجليزية
زيارة الموقعأندرويد كيو إف
مجانيأندرويد كويك فورنزكس (Android Quick Forensics) هي أداة يمكن استخدامها للوصول بسهولة إلى بيانات جهاز أندرويد لإجراء التحليلات الجنائية والتحليلات وفحص البرمجيات الضارة في المستقبل.
اللغات: اللغة الإنجليزية
زيارة الموقعدورة من إس إيه إن إس (SANS) حول الاستحواذ الرقمي والتصنيف السريع
حوالي 8000+ دولار أمريكيدورة شاملة وطويلة ومكلّفة للغاية حول الاستحواذ على البيانات وتحليلها من الأجهزة المحمولة
اللغات: اللغة الإنجليزية
زيارة الموقعا
تهانينا على إنهائك الوحدة 7!
حدد خانة الاختيار لتأكيد إكمالك والمتابعة إلى الوحدة التالية.
تحديد الوحدة الحالية على أنها مكتملة وحفظ التقدم للمستخدم.
🎉
تهانينا!
لقد أكملت جميع الوحدات في مسار التعلم هذا.